ludaku
Goto Top

Sporadische DNS Fehler

Moin face-smile

Wir haben ab und zu DNS Fehler in unserem Netzwerk. Ich denke dies könnte so rund um den Austausch der Firewall (neu eine Sophos XG) angefangen haben, sicher bin ich aber nicht.
Und zwar erhalten die Benutzer vor den Workstations dann diesen Fehler in Google Chrome
"DNS_PROBE_FINISHED_BAD_CONFIG"
pastedimage1542200261827v1

Hier ist unser Aufbau für DNS Requests:
  • Der DHCP verteilt den Clients den DNS-Server, dieser ist 192.168.2.2 (unser AD, inkl. interner DNS-Server)
  • DNS-Requests werden also von den Clients an 192.168.2.2 gestellt
  • Der interne DNS-Server versucht also den DNS-Request aufzulösen
- Falls er dies kann (bei Adressen aus dem internen Netz kann er das) gibt er die aufgelöste IP zurück
- Kann er die Adresse nicht auflösen (sprich externe Domains) dann gibt er den Request weiter
  • Wohin die dann weitergegeben werden , sind an die definierten DNS-Forwarder, diese sind in unserem Fall momentan auf 8.8.8.8 und 8.8.4.4

Clients sowie der interne DNS sind logischerweise im LAN. Und dies ist die Regel die DNS (unter anderem) erlauben sollte zu den Google DNS:
ActionSource Zones Source Networks and Devices Destination Zones Destination Networks Services
Accept LAN * WAN * *

IPS und DoS Protection sind zu Testzwecken auch ausgeschaltet.

Hat jemand noch eine Idee?
Ich arbeite noch nicht extrem lange mit der Sophos XG, daher bin ich nicht sicher ob ich evtl. etwas Sophos-spezifisches übersehen habe.
Könnte aber auch sonst etwas ganz anderes sein.
Ich bin auf jeden Fall froh für Ideen oder Hinweise.

LG

Content-ID: 392771

Url: https://administrator.de/forum/sporadische-dns-fehler-392771.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

sabines
sabines 14.11.2018 um 14:45:22 Uhr
Goto Top
Moin,

ist der Fehler reproduzierbar oder löst er sich bei Relaod der Seite auf?
Kannst Du mit nslookup den Namen auflösen?
Sind andere Browser auch betroffen?

Gruss
ludaku
ludaku 14.11.2018 um 14:56:34 Uhr
Goto Top
Zitat von @sabines:
ist der Fehler reproduzierbar oder löst er sich bei Relaod der Seite auf?
Er ist leider nicht reproduzierbar. Weder zeitlich, noch von der besuchten Webseite, alles variiert. Zum Teil verschwindet der Fehler beim reload, zum Teil braucht es mehrere Reloads (bis zu 5-10 Minuten)

Kannst Du mit nslookup den Namen auflösen?
Gute Idee, probiere ich mal.

Sind andere Browser auch betroffen?
Ich meinte Edge auch, aber muss dis noch sicher abklären.
7Gizmo7
7Gizmo7 14.11.2018 um 18:59:33 Uhr
Goto Top
Zitat von @ludaku:

Moin face-smile
Hi

Hier ist unser Aufbau für DNS Requests:
  • Der DHCP verteilt den Clients den DNS-Server, dieser ist 192.168.2.2 (unser AD, inkl. interner DNS-Server)
  • DNS-Requests werden also von den Clients an 192.168.2.2 gestellt
  • Der interne DNS-Server versucht also den DNS-Request aufzulösen
- Falls er dies kann (bei Adressen aus dem internen Netz kann er das) gibt er die aufgelöste IP zurück
- Kann er die Adresse nicht auflösen (sprich externe Domains) dann gibt er den Request weiter
  • Wohin die dann weitergegeben werden , sind an die definierten DNS-Forwarder, diese sind in unserem Fall momentan auf 8.8.8.8 und 8.8.4.4

Clients sowie der interne DNS sind logischerweise im LAN. Und dies ist die Regel die DNS (unter anderem) erlauben sollte zu den Google DNS:
ActionSource Zones Source Networks and Devices Destination Zones Destination Networks Services
Accept LAN * WAN * *


Hast du es mal probiert eher den ISP DNS im Forwarder zu nutzen ?

Mit freundlichen Grüßen
Deepsys
Deepsys 14.11.2018 um 21:39:06 Uhr
Goto Top
Hi,

etwas ähnliches haben wir im Moment auch, aber wir haben keine Sophos.
Versuch mal auf dem DC im Fehlerfall den DNS-Dienst neuzustarten.
Das hilft bei uns dann kurzfristig, bis zum nächsten Ausfall.
Wir haben die Provider DNS-Server drin.
In der Ereignisanzeige steht nichts, und die Smartphones im Gäste-WLAN können im gleichem Moment über die externen DNS-Server auflösen.

Das einzige gleiche was ich sehe ist der Windows DNS-dienst ....

Auch ein nslookup bekommt dann keine Auflösung hin, und das Ganze ist absolut sporadisch.

VG,
Deepsys
ludaku
ludaku 19.11.2018, aktualisiert am 20.11.2018 um 11:44:10 Uhr
Goto Top
Die Tests bzgl. nslookup und anderer Browser beginenn ab Morgen, ich habe die user entsprechend instruiert.
Ich werde hier die Ergebnisse mitteilen sobald ich was habe.

Zitat von @7Gizmo7:
Hast du es mal probiert eher den ISP DNS im Forwarder zu nutzen ?
Ja, probiert hab ich schon den DNS des ISPs, 8.8.8.8, 8.8.4.4, 1.1.1.1, 1.1.4.4, 9.9.9.9
Überall das gleiche.


Zitat von @Deepsys:
etwas ähnliches haben wir im Moment auch, aber wir haben keine Sophos.
Könnte natürlich auch nur ein Zufall sein, dass dies irgendwann um den Tausch zu Sophos begonnen hat.

Versuch mal auf dem DC im Fehlerfall den DNS-Dienst neuzustarten.
Das hilft bei uns dann kurzfristig, bis zum nächsten Ausfall.
Gut, werde ich dann auch probieren, danke für die Idee!

Wir haben die Provider DNS-Server drin.
Bei uns auch als die Probleme begonnen haben, habe mittlerweile aber wie oben beschrieben schon ein paar DNS-Server probiert.

In der Ereignisanzeige steht nichts, und die Smartphones im Gäste-WLAN können im gleichem Moment über die externen DNS-Server auflösen.
Bei uns ist es auch so, dass wenn ich auf einem Client direkt einen externen DNS (z.B. Google) eintrage es sofort wieder klappt.
Wie verhält sich das bei dir?

Das einzige gleiche was ich sehe ist der Windows DNS-dienst ....
Blitzgedanke: Windows und seine tollen Updates face-smile
ludaku
ludaku 26.11.2018 um 11:43:39 Uhr
Goto Top
So, kurzer Zwischenbericht:
Wenn ein Problem auftritt, dann klappt auch eine Auflösung mittels nslookup nicht mehr. (Nur wenn ich nslookup einen spezifischen DNS Server mitgebe, z.B. 8.8.8.8, dann klappt es)
Auch in einem anderen Browser klappt es nicht.

Zitat von @Deepsys:
Versuch mal auf dem DC im Fehlerfall den DNS-Dienst neuzustarten.
Das hilft bei uns dann kurzfristig, bis zum nächsten Ausfall.
Ich werde dies mal anschauen als nächstes.

@Deepsys
Gibt es bei dir etwas neues bezüglich diesem Problem?
ludaku
ludaku 28.11.2018 um 14:17:02 Uhr
Goto Top
Also ein Neustart des DNS Servers (inkl. paar Sekunden nach dem der Dienst wieder läuft warten) hilft bei mir auch temporär.
Was hast du für einen Version wenn ich fragen darf @Deepsys ? Windows Server 2012 R2?

Ich blicke echt nicht mehr durch.
Deepsys
Deepsys 28.11.2018 um 15:30:30 Uhr
Goto Top
Hi,

im Moment ist es ruhig, kein Problem mehr.
Und ja, auch ein 2012R2 ....
Dome19
Dome19 09.06.2020 um 07:06:32 Uhr
Goto Top
Hallo

habt Ihr nach rund zwei Jahren eine Lösung für diese Problem?
Bei uns tritt der Fehler auch nach dem wechsel der Firewall (SG zu Sophos XG) auf.
Bei uns leitet jedoch der Interne DNS-Server (AD) zur Sophos weiter und erst die Sophos zu den vom ISP.

Wäre schön wenn Ihr mir helfen könntet. Achso ja auch 2012R2

Grüße